Цепанул Monoca32.exe

Printable View

03.08.2010, 12:09
Denizgo24

Цепанул Monoca32.exe

Сначала полный подвис системы, перестал входить в безопаску. сайты антивирусов блокирует. в автозагрузку добавился Monoca32.exe. вручную не удаляется, пишет что занят процессом. с LiveCD загрузившись, удалось его переименовать, тем самым исключив из запуска. Прогон Cureit'ом и AVZ ничего не дал. базы AVZ не обновляются, проверял недельными. мастер проблем показал что обнаружен "..статический маршрут..". пофиксил это, без результатно. периодически падает оболочка explorer.exe
03.08.2010, 12:11
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vjuotm.exe','');
QuarantineFile('C:\WINDOWS\system32\99337a52.exe','');
DeleteFile('C:\WINDOWS\system32\99337a52.exe');
DeleteFile('C:\WINDOWS\system32\vjuotm.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Скачайте [url="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
03.08.2010, 13:17
Denizgo24

выкладываю нужные файлы
03.08.2010, 13:26
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Меняйте все пароли[/B]

Сделайте новые логи RSIT
03.08.2010, 13:33
Denizgo24

рекомендации кого из вас двух выполнять ? или по поочереди?
03.08.2010, 14:02
Denizgo24

карантин добавил, новые логи по инструкции.
03.08.2010, 14:03
PavelA

по очереди.
03.08.2010, 14:25
thyrex

Что сейчас с проблемой?
03.08.2010, 14:41
Denizgo24

скорость работы и отклика приложений вроде восстановилась. доступ к сайтам virusinfo.info , kasperksky.ru и drweb.ru также недоступен, пишу через anonymouse.org . файл hosts при открытии утилитой AVZ оказывается пустым. на остальные сайты захожу. Обновление баз AVZ также недоступно.
03.08.2010, 14:46
thyrex

Сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
03.08.2010, 17:26
Denizgo24

сделал полное сканирование. выкладываю лог
03.08.2010, 17:33
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
D:\System Volume Information\_restore{7012801E-0E10-4790-B3AB-800711EE1EB5}\RP102\A0025414.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{7012801E-0E10-4790-B3AB-800711EE1EB5}\RP102\A0025416.exe (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{7012801E-0E10-4790-B3AB-800711EE1EB5}\RP99\A0024297.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.[/CODE]Больше плохого не видно
03.08.2010, 18:13
Denizgo24

отмеченное удалил, ситуация не изменилась. Через китайскую проксю на сайты касперского ходит. Значит сеть. Пофиксил утилитой Winsockfix , все заработало, AVZ обновился, на сайты все напрямую ходит. Пока полет нормальный.

[B]Thyrex[/B], Большое спасибо за реальную помощь!
04.08.2010, 18:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-861567501-261903793-839522115-500\dc336.zip - [B]Hoax.Win32.ArchSMS.oh[/B] ( DrWEB: Tool.SMSSend.50 )[*] c:\windows\system32\cmdow.exe - [B]not-a-virus:RiskTool.Win32.HideWindows[/B][*] c:\windows\system32\fjhdyfhsn.bat - [B]Trojan.BAT.KillFiles.np[/B] ( DrWEB: BAT.KillFiles.33, BitDefender: Trojan.Agent.BAT.H, NOD32: BAT/KillFiles.NCB trojan, AVAST4: VBS:Malware-gen )[/LIST][/LIST]